Einige haben es vielleicht schon bemerkt: ich habe die Datenschutzrichtlinien dieser Webseite angepasst. Ich bin damit auch noch nicht fertig. Und einige meiner Gedanken dazu möchte ich nun mit euch teilen. Vorweg: der Artikel ist lang. You have been warned.
Es ist nun nicht so, dass ich mich erst jetzt, wo das finale Inkrafttreten der Datenschutzgrundverordnung (kurz „DSGVO“) unmittelbar bevorsteht, eingehend mit dem Thema beschäftige: tatsächlich sind die Belange des Datenschutzes mir schon immer ein großes Anliegen gewesen – wer mir länger folgt, weiß das auch. Es ist vielmehr so: ich fand die Gesetzestexte und das ganze Drumherum bislang beeindruckend intransparent und hatte die Hoffnung, dass sich diesbezüglich bis zum 25. Mai noch etwas zum Besseren wendet. Diese Hoffnung hat sich leider nicht bewahrheitet.
Das Suchwort „DSGVO“ in den Trends von Google
Meine Recherchen ergaben, dass ein großer Teil der Leute sich auf Art. 2 Abs. 2 DSGVO stürzt: er definiert, wann die Verordnung eben keine Anwendung findet, und vor allem der Part mit persönlich und familiär erfreut sich wachsender Beliebtheit.
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten…
… durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.– Art. 2 Abs. 2 lit. c DSGVO
Darüber habe ich im Bekannten- und Familienkreis nun schon häufig diskutiert und die unterschiedlichsten Meinungen dazu gehört. Unter familiär verstehe ich das Fotoalbum für Tante Berta, unter persönlich die Kontakte auf meinem iPhone. Eine Webseite als persönlich zu klassifizieren scheint mir in diesem Zusammenhang brandgefährlich: immerhin richtet sie sich mit ausgearbeiteten Inhalten an eine nicht näher definierte Leserschaft — eine Webseite steht grundsätzlich allen Interessierten offen.
Anders sähe es natürlich aus, wenn man sie digital zuzunageln und das Passwort verschlucken würde: „Weitergehen, hier gibt es nichts zu sehen!“ Tue ich aber nicht. Tatsächlich ist es in meinem Fall sogar so, dass ich als Systems Engineer überwiegend über Belange des Systems Engineering schreibe; außerdem blende ich, wenngleich keine Bannerwerbung oder Ads, meinen kleinen Kaffee-Spenden-Button und einen Verweis auf meine Amazon-Wunschliste ein. In Kürze wird auch der Hinweis auf das baldige Erscheinen meines Buches seinen Platz hier finden, und auch wenn man das Buch auf diesem Wege nicht wird bestellen können — so könnte man mir insgesamt durchaus eine Gewinnerzielungsabsicht unterstellen. Oder nicht? Oder doch?
Kurzum: meine Un*xe ist weder als persönlich, familiär noch von öffentlichem Interesse einzustufen und fällt mithin unter die Regelungen der DSGVO (so wie meiner Meinung nach der überwiegende Teil aller Webseiten). Sie soll eine Plattform darstellen, auf der Interessierte sich informieren und austauschen können. Da geht’s ja aber gerade schon wieder los…
Verdammt, die Kommentarfunktion ist mein echter Dorn im Auge. Schon vor Urzeiten (mein Blog geht stramm auf seinen 12. Geburtstag zu!) hatte ich eingestellt, dass die Angabe eines (Nick)Names und einer E-Mail-Adresse zum Kommentieren verpflichtend sei: beides fällt meiner Meinung nach unter dem Aspekt der „personenbezogenen Daten“. Das darf ich, und das darf ich gemäß 6 Abs. 1 lit. f DSGVO auch weiterhin. Zugleich gilt jedoch auch Art. 5 Abs. 1 lit. f DSGVO — welcher sich nämlich auf den angemessenen Schutz dieser Daten bezieht.
WordPress knallt die gesammelten Angaben im Klartext in die Datenbank. Ist das hinreichend angemessen? Okay, die erfasste IP-Adresse des Kommentators lösche ich automatisiert nach 60 Tagen, die ist dann schonmal weg. Aber der Rest? Kann ich die Kommentarfunktion noch guten Gewissens offen lassen? Soll ich einfach darauf hoffen, dass die WordPress-Entwickler hier zeitnah nachlegen? Aber wer sichert mir zu, dass das dann so DSGVO-konform ist?
Ich habe darüber nachgedacht, die WordPress-Option „Benutzer müssen zum Kommentieren Name und E-Mail-Adresse hinterlassen “ schlicht zu deaktivieren; keine Namen, keine Adressen, und nach 60 Tagen keine IPs mehr. Aber irgendwie…
Wie stelle ich dann sicher, dass jener Henri, der mir jetzt bezugnehmend auf Art. 17 Abs. 1 DSGVO mitteilt, dass ich gefälligst all seine unter dem Usernamen kakipflaume0815 erfassten Kommentare trashen möge, auch der richtige Henri ist? Könnte ja sonst jeder kommen und Löschung von allem möglichen verlangen! Also doch die E-Mail-Adresse dauerhaft behalten? Dann steht die wieder in der Datenbank rum, und Mailheader und Absendeadressen sind auch schnell gefälscht… was bleibt? Das sind Fragen, die ich mir auch im Zusammenhang mit Art 16. DSGVO („Recht auf Berichtigung“), Art. 15 DSGVO („Auskunftsrecht“) und so stelle.
Für den Moment ist die Kommentarfunktion noch offen; ich hoffe auf klugen Input meiner treuen Leserschaft, der im Idealfall Licht ins Dunkel bringen wird. Gegebenenfalls schalte ich sie zum 25. Mai auch vorerst ganz ab, ich weiß es noch nicht.
Frei nach Peter Lustig… Meiner Meinung nach haben die Diskussionen zum Thema generell nichts mit „übertriebener Panikmache“ zu tun — ein Vorwurf, der in den vergangenen Tagen immer lauter wird. Okay, ja, klar, einige schon. Aber: einige grundlegende Dinge sind nun einmal himmelschreiend ungeklärt, und auch Consultants, Datenschutzbeauftragte und viele andere, die diesbezüglich deutlich mehr drauf haben als ich, scheuen klare Ansagen. Ich glaube an den „alten Netzgedanken von früher™“: ich weiß was und stelle es euch zur Verfügung. Für lau. Profitiere umgekehrt und gegebenenfalls auf anderen Wegen von eurem Wissen. Ich mag den Ansatz, nach wie vor. Aber ist er noch realistisch?
Wenn nun sogar für einen Kristian Köhntopp die Weiterführung der selbst gehosteten Instanz nicht ansatzweise zur Debatte steht — wo stehe ich dann? Auf wie dünnes Eis begebe ich mich? Und ist es das wert?
Grundsätzlich bin ich schon vor längerem dazu übergegangen, so wenige Plugins wie möglich zu verwenden; was immer geht, fackele ich über mein Child-Theme ab, so zum Beispiel auch das Abschalten externer Emoticons (einen sehr guten Artikel dazu findet ihr hier).
Da ich aber externe Quellen ohnehin nicht so prickelnd finde versuche ich, Content möglichst immer lokal vorzuhalten; deshalb liegen beispielsweise alle benötigten Fonts auf meinem Server, statt dass ich sie von Google Fonts einbinde — spart euch Ladezeit und mir einen großen Absatz in der Datenschutzerklärung.
Gravatar habe ich abgeschaltet: das ist doof, weil ich die Seite mit euren Avataren irgendwie „persönlicher“ fand, aber der Preis dafür war mir zu hoch.
Die gesamte Indieweb-Maschinerie habe ich erst außer Betrieb gesetzt, dann die Verbindungen zu den Apps gelöst und schließlich allen Webmention-Content aus meiner Datenbank gelöscht — worüber ich sehr traurig bin, ich mochte die Funktionen einfach sehr. Aber aus verschiedenen Gründen ist es nicht zu vertreten. Ich hatte mir im Vorfeld zahlreiche Gedanken dazu gemacht, und die deutlich strukturiertere Printausgabe dieser Gedanken findet ihr in diesem großartigen Artikel von Sebastian Greger.
Ausgabe des Analyse-Tools „Dataskydd“
Meinem nginx hab ich ein add_header Referrer-Policy 'same-origin'; verpasst; wenn ihr da mehr zu lesen wollt, könntet ihr beispielsweise hier damit anfangen. Und von Volker habe ich den Tip erhalten, das Analysetool „Dataskydd“ auszuprobieren: als externe Ressourcen kommen nun noch die vier Instragram-Bildchen, das VGWort-Zählpixel und das VGWort-Cookie zum Tragen.
Ansonsten unterzog ich die Seite, wie ich es ohnehin alle paar Monate tue, einer Putzaktion: Aufräumen der Datenbank, Überprüfung der Plugins, gegebenenfalls Deaktivierung und Löschung von Schrott. A propos „Schrott“: Google Analytics hab ich bei der Gelegenheit auch gerade über die Wupper geschickt. Hat jetzt weniger mit der DSGVO zu tun — okay, ja doch auch, ich hatte keinen Bock, mit das alles durchzulesen… in erster Linie hab ich es nie wirklich genutzt. Ich weiß, dass das eine kleine Nischen-Webseite ist und meine Besucher überwiegend über 20 unter unter 50 Jahre alt sind und männlich und aus Deutschland. Oder Österreich. Juckt mich aber, wenn ich ehrlich bin, nicht wirklich, ich hab mit diesen Informationen nie gearbeitet. Ist jetzt also alles weg, und das kommt wiederum der Ladezeit zugute.
Ich hätte Google Analytics natürlich auch drin lassen können; hätte das in der Datenschutzerklärung dann halt ausarbeiten müssen, „berechtigtes Interesse“ und so. Aber wie ist es eigentlich, wenn eine Website aus „berechtigtem Interesse“ vier Tracking-Systeme parallel einsetzt? Widerspricht das nicht dem Grundsatz der Datensparsamkeit?
Jetzt bin ich müde, aber das hatte sich nun schon seit langem aufgestaut und musste einfach mal raus. Mit etwas Glück haben wir ja im Endeffekt alle was davon :D Schlaft gut, wo immer ihr auch träumt!
[Update 10. Mai 2018] Hier ein weiterer Artikel der versucht, Licht ins Dunkel zu bringen.
